CVE-2024-58340

Nome do Software Vulnerável e Versões Afetadas Versões do LangChain até e incluindo 0.3.1

Descrição Versões do LangChain até e incluindo 0.3.1 apresentam um problema de negação de serviço por expressão regular (ReDoS) no método MRKLOutputParser.parse(), localizado em libs/langchain/langchain/agents/mrkl/output parser.py. O analisador utiliza uma expressão regular suscetível a backtracking, que pode ser acionada por um payload elaborado. Um atacante que possa controlar ou influenciar o texto analisado, como por meio de injeção de prompt, pode causar uso excessivo da CPU, resultando em atrasos na análise e em uma condição de negação de serviço. O método vulnerável é parse().

Recomendações Atualize para uma versão do LangChain superior a 0.3.1.